メニュー
满配示例技能包:SKILL.md + scripts/、references/、assets/ 等可选目录;验证 Eino skill 与 HTTP 包内路径(仅授权安全测试与教学)。
API安全测试的专业技能和方法论
业务逻辑漏洞测试的专业技能和方法论
云安全审计的专业技能和方法论
命令注入漏洞测试的专业技能和方法论
容器安全测试的专业技能和方法论
CSRF跨站请求伪造测试的专业技能和方法论
| name | cyberstrike-eino-demo |
| description | 满配示例技能包:SKILL.md + scripts/、references/、assets/ 等可选目录;验证 Eino skill 与 HTTP 包内路径(仅授权安全测试与教学)。 |
本包与 Agent Skills 一致:SKILL.md 为清单 + 主说明(无单独 SKILL.yaml)。同目录可有 scripts/、references/、assets/ 等任意子目录(只要路径安全、未触达包深度/文件数上限),由 ListPackageFiles / resource_path 与 Eino 本机工具读取。补充说明见 FORMS.md、REFERENCE.md。
用于一次性验证:
GET /api/skills 列表(script_count、file_count、progressive 等为推导/扫描结果)GET /api/skills/cyberstrike-eino-demo?depth=summary|fullsection= 对应 SKILL.md 中 ## 标题或 ASCII 标题的短 id(例如 ## Payload 样例 常对应 section=payload)skill 工具(及可选本机文件工具)读取包内相对路径资源FilesystemSkillsRetriever 对包摘要、## 分块、脚本条目的检索硬性要求:任何测试须取得书面授权,并限定在约定范围与时间窗口内。
以下为 教学占位,实际测试需替换为目标上下文且不得用于未授权系统:
"'(观察是否触发数据库错误信息泄露)<script>alert(1)</script> → 在靶场中应被编码或 CSP 拦截....//....//etc/passwd(仅在授权文件读取场景)详细列表见 scripts/payloads.txt。
用于验证非 scripts/ 的子目录是否被同等对待:
| 路径 | 用途 |
|---|---|
references/citations.md | 引用与 HTTP resource_path 测试说明 |
assets/README.txt | 占位资源(可换成真实二进制做读文件上限测试) |
| 阶段 | 工具示例 |
|---|---|
| 代理与重放 | Burp Suite、mitmproxy |
| 扫描与目录 | ffuf、nuclei(需调低并发遵守授权) |
| 漏洞验证 | 自写 PoC、官方 CLI(sqlmap 等)仅在授权范围内 |
| 记录 | Markdown + JSON 片段模板(见 scripts/report-snippet.json) |
scripts/ 下文件与正文引用一致GET /api/skills?... 可核对索引;多代理会话内用 skill 工具按包加载以节省 tokenskill 拉全文,或 HTTP depth=full、section=<标题或短 id>resource_path=scripts/check-env.shresource_path=references/citations.md 与 resource_path=assets/README.txt 可读取